03/02/21
Атаковавшая компанию SolarWinds хакерская группировка нашла другие способы атаковать американские компании, помимо взлома ПО SolarWinds. По сути, почти треть (30%) пострадавших вообще не использовали продукцию SolarWinds.
Как сообщил исполняющий обязанности директора Агентства кибербезопасности и безопасности инфраструктуры (CISA) Брендон Уэлс (Brandon Wales) изданию Wall Street Journal, хакеры «получили доступ к своим жертвам разными способами», и данную вредоносную кампанию не следует рассматривать как исключительно «кампанию SolarWinds».
Стоит отметить, что крупнейший в истории США киберскандал со взломом целого ряда организаций в декабре прошлого года действительно стал известен как «взлом SolarWinds». Хакеры внедрили бэкдор в обновления для платформы Orion от компании SolarWinds с целью получить доступ к сетям ее клиентов.
Однако, как было установлено впоследствии, киберпреступники использовали не только троянизированные обновления для Orion, но и множество других тактик, позволивших им проникнуть в сети американских организаций. Помимо прочего, хакеры эксплуатировали недостаточно защищенные учетные данные администратора, использовали технику, известную как «распыление паролей» (password spraying) и даже брутфорс. Злоумышленники также взломали компании, независимые от цепочки поставок SolarWinds, в том числе Microsoft, FireEye и Malwarebytes.
Для доступа к определенным государственным учреждениям хакеры также использовали облачное ПО Microsoft Office. Даже сама SolarWinds в настоящее время проверяет, не проникли ли злоумышленники в ее сети через облачный сервис Microsoft, прежде чем модифицировать обновление для Orion.
